Практика

Уровень 3 - Посвящение

Итак, за считанные дни до 1 июля, справившись с двумя испытаниями, мы готовы пройти посвящение и получить титул статус оператора персональных данных. Конечно, в давние времена, когда до 1 июля оставалось больше времени, этот этап мог быть крайним испытанием, но сейчас мы стремимся успеть до 1 июля, и успеть заявить о себе даже важнее, чем построить к этому дню систему защиты.

Проявив решимость стать оператором, нам придется самим обратиться за посвящением, которым станет заполненная на портале Роскомнадзора форма "Уведомления об обработке персональных данных".

Важно понимать, что с момента "отжатия" кнопки "Отправить" мы по своей доброй воле объявим свою организацию оператором персональных и возьмем обязательство следовать букве закона. С одной стороны, в этом есть некоторые риски, а вдруг про нас никто и никогда бы не вспомнил? Может и так, но с другой стороны, если, не имея уважительных причин не направим уведомление до 30 июня включительно, то уже с первого июля наша компания станет нарушителем 152-ФЗ и эта дата станет точкой невозврата, как минимум один штраф, пусть и сравнительно небольшой заплатить, скорее всего, придется всем.

Это как 1 апреля для налогоплательщиков. Многие, наверное, в курсе, что если кто не успел подать декларацию в ФНС о своих нетрудовых, то с первого рабочего дня апреля появится как минимум штраф – 1000 рублей за просрочку, а часто получается, что чем дальше по скользкой, тем сильнее вязнешь в нелегальной тине. Поэтому, как советуют здравый смысл и старшие товарищи, уведомление лучше направить. Например, вдруг станется в 2012-м, что "наибольший интерес для включения в план проверок вызовут операторы, не включенные в реестр". Нам и так по линии защиты персональных данных регулярно упрощали задачи, например, отменили обязательные требования по криптографии или необходимость получения лицензий на защиту информации для собственных нужд. В общем, даже имея ИСПДн по К4 или обрабатывая все персональные тайны удаленно где-нибудь в Тевтонии, не заполнив уведомление мы будем оставаться "черным рыцарем" без правого статуса и благородного звания оператора персональных данных.

Опыт обхождения "подводных камней"

Первое о чем нужно помнить при заполнении, что формулировка "электронное уведомление" — это некоторый "фейк".

Электронную форму уведомления придется пренепременно распечатать, заверить и, проставив номер исходящего, отправить в территориальный орган Роскомнадзора по месту юридической регистрации оператора. То есть, отправляем и электронно, и физически, естественно, не допуская разночтений, что уже стало основной ошибкой операторов. Например, когда в электронной форме говорится о двух ИСПДН, а в печатной появляется ИСПДн №3.

Вторая распространенная ошибка - пропуски данных, например, забывчивость в заполнении почтового индекса или наименования муниципального района для районных организаций. Важно лишний раз проверить полное соответствие всех полей в электронной форме и бланке уведомления. На этом этапе можно целиком и полностью положиться на помощь штатного юридического союзника.

Все вводные формы уведомления до вопроса "Правовое основание обработки персональных данных" необычайно просты. В указанном поле желательно постатейно перечислить все федеральные законы и нормативные акты, в рамках которых мы обрабатываем ПДн. Например, Трудовой кодекс, для процессов накопления сведений о сотрудниках, или ФЗ "Об акционерных обществах" для данных по собственникам и акционерам. В большинстве случаев хватает перечня из 4-5 документов, в первую очередь, конечно, с указанием "ст. 5, 6, 7, 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Нужно 7 раз подумать, прежде чем отмечать параметр "Биометрические персональные данные", тем более, что далеко не каждая фотография сотрудника или "скан" паспорта – это сразу биометрия, а вот защита биометрии почти всегда потребует отдельного согласия субъектов, дополнительных технических средств и юридического мужества.

Дальнейшие вопросы проходятся аллюром и заполняются в соответствии с нашим актом классификации ИСПДн.

Но у камня с вопросом «Осуществляется ли трансграничная передача персональных данных» лучше сделать остановку и пока еще не поздно тоже хорошо взвесить все за и против. Если в явном виде нам не требуется отправлять персональные данные на домены отличные от зоны RU, лучше однозначно и уверенно ответить "не осуществляется". Если по распоряжению боссов кому-то из сотрудников приходится иногда слать списки акционеров куда-нибудь на Каймановы острова, то придется ответить на трансграничный вопрос положительно и указать страны, в которые передаются ПДн. Дальнейшее развитие событий предугадать сложно, в некоторые страны, где защита ПДн находится на "варварском" уровне нам могут вообще запретить любые транзакции приватных данных. Кстати, этот же пункт придется обязательно отметить, если наш 1С сервер хостится где-нибудь в солнечном Амстердаме.

Для поля "Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке" нужно хотя бы общее представление о тех способах и механизмах защиты, которые мы будем использовать. Хорошо, если не используем криптографию, тогдауказание точных наименований программных продуктов и технических устройств не потребуется.

Двигаемся дальше.

Выбрав, класс информационной системы, указываем дату начала обработки ПДн, крайне желательно, чтобы она была не позднее 31.12.2010 (см. ФЗ-359 от 23.12.2010).

Указываем срок или условие прекращения обработки ПДн, например, «ликвидация организации», указываем контакты исполнителя, проходим "капчу" и нажав, "Отправить", бескомпромиссно делаем еще один шаг в сторону легализации нашей ИСПДн. На всякий случай перед прохождением этого этапа стоит почитать как можно больше хинтов и солюшенов от регуляторов. Не забудем и про отправку распечатанной бумажной формы с номером исходящего и ключом электронной формы уведомления, который "генерится" после нажатия кнопки отправить.

Включение оператора в реестр осуществляется в течение 15 дней с даты поступления уведомления по результатам проверки сведений, содержащихся в уведомлении. Датой внесения оператора в реестр считается дата подписания приказа.

На следующем уровне мы приступим к разработке модели угроз безопасности персональных данных при их обработке в ИСПДн. Для этого нам придется пересчитать все возможные опасности, в окружении которых будет находиться наша ИСПДн.

На новый уровень! >>